Skupina bezpečnostních výzkumníků, která již před 6 měsíci objevila zranitelnost iMessage, zveřejnila na svém blogu detaily této chyby, kterou prý mohl objevit každý, kdo umí trochu JavaScriptu. Díky ní bylo možné ze zpráv na některých zařízeních od společnosti Apple získat historii včetně fotek a videí. A to jen kliknutím uživatele na odkaz vedoucí na stránku se škodlivým JavaScriptem. Chyba byla opravena aktualizací vydanou 21. března.

Ukázka průběhu útoku na iMessage

Experti zdůrazňují, že problém nebyl v protokolu iMessage, ale v klientském programu, který používá engine WebKit a má možnost spouštět webové skripty. Vzhledem k tomu, že iMessage korektně neomezovalo přístupy z takto spuštěného skriptu, bylo možné číst lokální data a pokud měla oběť synchronizované zařízení do iCloudu, mohl útočník získat přístup ke všem SMS zprávám oběti.

V novém Chromu jsou opraveny dvě závažné zranitelnosti

Celkově přišly s Chromem ve verzi 50 záplaty pro 20 zranitelností, o kterých Google informuje na svém blogu. Za dvě z nich, které mohly vést ke změně hesla uživatele, Google vyplatil dvanáct a půl tisíce dolarů.

Google často dostával upozornění na úspěšné převzetí účtu od výzkumníků, ke kterému ale došlo díky tomu, že se výzkumníci snažili převzít svůj testovací účet ze stejné IP adresy a stejné konfigurace prohlížeče, která s účtem již byla svázána. Uživateli s nickem Ramzes se ale podařilo odhalit skutečnou závadu. Útok začal tím, že využil XSS zranitelnost v okně pro zobrazení Google nápovědy. A právě díky této XSS se mu u obětí dařilo vyvolat proces obnovení účtu.

XSS zranitelnost v nápovědě Google

Při obnovení účtu nejdříve útočník v pvním kroku vloží email oběti. Poté je dotázán na poslední heslo. V tomto kroku Ramzes našel způsob jak obelstít ochranu proti CSRF útoku a simuloval klik uživatele na tlačítko „Nevzpomínám si“.

Následně se útočník snažil dokončit změnu hesla odesláním resetovacího odkazu na vlastní email. K tomu je ale potřeba odpovědět na otázky typu kdy byl účet vytvořen a kdy se k němu uživatel naposledy přihlásil. Tyto informace se však Ramzesovi podařilo získat ze stejné domény, na které spustil XSS útok.

Google již samozřejmě chyby opravil a také se bude snažit převést komplexnější služby na vlastní subdomény, aby zranitelnost v jedné z nich neovlivnila ty ostatní.

Chyby v QuickTimu pro Windows už Apple nebude opravovat - odinstalujte ho!

Apple dal ruce pryč od dalšího rozvoje a dokonce i oprav chyb v programu QuickTime pro operační systém Windows. Apple tuto skutečnost neprohlásil přímo, ale v reakci na nalezené zranitelnosti. Ty nalezel Steven Seeley ze společnosti Trend Micro a jedná se o zranitelnost týkající se zápisu mimo alokovanou paměť, díky čemuž může útočník vzdáleně spustit vlastní kód. Je k tomu potřeba pouze to, aby uživatel navštívil upravenou webovou stránku, nebo otevřel speciálně upravený soubor. Detaily jsou popsány na blogu společnosti TrendMicro.

Pokud toto okno vídáte na Windows, čtěte pozorně!

Zranitelnosti byly společnosti Apple nahlášeny 11. listopadu 2015 a odpověď obsahující informaci o ukončení podpory QuickTime na OS Windows přišla 9. března 2016. Apple ve stejný den zveřejnil návod na odstranění programu ze systému. V případě, že program QuickTime na Windows máte, nezbývá než doporučit návod okamžitě otevřít a začít s odstraňováním.

Klientům České Spořitelny chodily falešné SMS zprávy

Česká Spořitelna upozornila na falešné SMS zprávy, ve kterých se vyskytuje chybná adresa pro přístup do služby Servis 24. Podle prohlášení České Spořitelny je útočníci odesílají na náhodně zvolená telefonní čísla.

Ukázka podvodných SMS zpráv

Jak je vidět na obrázku, útočníci používají různé texty adresy, které se od skutečného https://www.servis24.cz odlišují. Uživatele by také mělo na nebezpečí upozornit to, že odkaz využívá nezabezpečené spojení HTTP, kdežto správný Servis 24 poběží vždy na HTTPS.

Napadl vás ransomware Petya? Ušetříte, dešifrování je možné zdarma!

Na Twitteru se v minulém týdnu objevil příspěvek informující o nalezení algoritmu, který dokáže určit klíč použitý ransomwarem Petya k zašifrování disků obětí. Uživatel leostone zveřejnil zdrojové kódy na githubu a na webu bleepingcomputer.com vznikl detailní návod, jak své soubory můžete zachránit.

K získání dešifrovacího klíče vznikla webová stránka. Na té je potřeba zadat 512 bytů ze specifikovaného místa na disku, na základě kterých bude klíč vygenerován. K tomu může být použit extraktor, o kterém je také více informací v uvedeném návodu.

Stránka pro získání klíče k dešifrování dat

Po vložení úryvku dat na web se spustí genetický algoristmus , který prohledává množinu klíčů na základě přirozeného výběru podobného genetické evoluci. Funguje tak, že opakovaně modifikuje populaci tvořenou z řešení a vybírání z ní jedince, které použije jako rodiče k vytvoření řešení v další generaci. Populace se tak časem vyvine k optimálnímu řešení. A slovo časem v případě testu provedeného tvůrcem návodu znamenalo přibližně 7 sekund. Takže oběti mohou schovat platební karty a pustit se do dešifrování!

Problém s historickým datem na iOSu trval déle než se zdálo

V únoru jsme psali o problému s iPhony, ze kterých se, po nastavení data staršího než 1.1.1970, stali pouze těžítka a bylo potřeba je odnést do servisu. Apple tento problém v době vydání článku měl již opravený, jak se ale ukázalo, ne zcela dokonale. Několik výzkumníků se v minulém týdnu na blogu pochlubilo, že přišli na jinou cestu, jak způsobit stejný problém.

Ukázka „zneškodnění“ iPadu po připojení k nedůvěryhodné WiFi

Pomocí Rapsberry Pi vytvořili WiFi access point a v síti vytvořili falešný Apple NTP server, který zařízením předával historické datum. Po jeho nastavení zařízení postupně přestávají reagovat na uživatele a prudce stoupá spotřeba baterie a teplota zařízení. Oprava tohoto problému byla vydána ve verzi iOS 9.3.1.

Na Filipínách byla ukradena data až 70 miliónů uživatelů

Většina zpravodajských webů v minulém týdnu psala o obrovském úniku dat na Filipínách. V tom měly být odcizeny osobní informace o přibližně 70 milionech lidí. K hackerskému útoku se přihlásila skupina Anonymous. A nejen to, dokonce také zveřejnili video, jak k hacknutí došlo. Vše vypadá na využití SQL Injection. Podívejte se sami – ukázka útoku začíná v 1:35.

Další zprávy ze světa IT bezpečnosti v bodech:

• Moxa neopraví již zveřejněné zranitelnosti minimálně do srpna
• Malware dokáže měnit nastavení DNS na domácích routerech přes mobilní zařízení
• Společnost vypomáhající FBI s iPhony se blíží k prolomení iPhonu 6
• Monitorovací nástroj pomáhá Facebooku odhalovat duplikáty a falešné certifikáty
• Hacker může překonat dvou-faktorovou autentizaci jednoduchými útoky[PDF]
• Záplaty pro Badlock byly již zveřejněny
• QBot opět útočí a brání se detekci
• VMware opravil kritickou zranitelnost ve svém produktu
• 3 miliony JBOSS serverů ohrožuje backdoor